Kontrol akses untuk folder dengan IAM

Google Cloud menawarkan Identity and Access Management (IAM), yang memungkinkan Anda memberikan akses yang lebih terperinci ke resource Google Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. IAM memungkinkan Anda menerapkan prinsip keamanan dengan hak istimewa terendah, jadi Anda hanya memberikan akses yang diperlukan ke resource Anda.

Dengan IAM, Anda dapat mengontrol siapa (pengguna) yang memiliki akses (peran) ke resource tertentu dengan menetapkan kebijakan izin. Kebijakan izinkan memberikan peran tertentu kepada pengguna yang memberikan izin tertentu kepada pengguna.

Halaman ini menjelaskan peran IAM yang tersedia di tingkat Folder, dan cara membuat serta mengelola kebijakan izin untuk folder menggunakan Cloud Resource Manager API. Untuk mengetahui informasi selengkapnya, lihat Mengelola akses ke project, folder, dan organisasi.

Ringkasan peran IAM untuk Folder

Untuk membantu Anda mengonfigurasi peran IAM, tabel berikut mencantumkan:

  • Jenis tindakan yang ingin Anda aktifkan
  • Peran yang diperlukan untuk melakukan tindakan tersebut
  • Tingkat resource tempat Anda perlu menerapkan peran tersebut
Jenis tindakan Peran yang diperlukan Tingkat resource
Mengelola folder di seluruh resource organisasi Folder Admin Resource organisasi
Mengelola folder dan semua project serta folder yang ada di dalamnya Folder Admin Folder tertentu
Mengakses dan mengelola kebijakan izinkan folder Folder IAM Admin Folder tertentu
Membuat folder baru Pembuat Folder Resource induk untuk lokasi folder baru
Memindahkan folder dan project Pemindah Folder Resource induk untuk lokasi folder asli dan lokasi folder baru
Memindahkan project ke folder baru Editor Project atau Pemilik Project Resource induk untuk lokasi project asli dan lokasi project baru
Menghapus folder Editor Folder atau Admin Folder Folder tertentu

Praktik terbaik untuk menggunakan peran dan izin IAM dengan Folder

Saat menetapkan peran dan izin IAM untuk digunakan dengan Folder, perhatikan hal berikut:

  • Gunakan grup jika memungkinkan untuk mengelola akun utama.
  • Minimalkan penggunaan peran dasar, seperti pemilik, editor, dan pelihat. Sebagai gantinya, coba gunakan peran yang telah ditentukan sebelumnya untuk prinsip hak istimewa terendah.
  • Untuk pengelolaan di seluruh folder, tetapkan izin di tingkat folder dan minta project mewarisinya secara otomatis. Misalnya, Anda dapat menetapkan peran Admin Folder pada folder untuk grup administrator departemen. Administrator jaringan yang memerlukan izin di seluruh departemen dapat memiliki peran Admin Jaringan untuk folder.
  • Pertimbangkan dengan cermat izin yang mungkin berubah sebelum memindahkan resource dari folder. Jika tidak, Anda dapat berisiko merusak aplikasi atau alur kerja yang ada yang memerlukan izin tersebut pada resource tersebut.
  • Rencanakan dan uji hierarki resource Anda dengan cermat sebelum memindahkan project produksi ke dalam folder. Salah satu caranya adalah dengan membuat folder pengujian di bawah resource organisasi Anda dan membuat prototipe hierarki yang diinginkan sebelumnya.
  • Memberikan peran kepada pengguna di tingkat folder juga akan memberikan peran tersebut kepada pengguna untuk setiap resource di bawah folder tersebut. Misalnya, jika Anda memberi pengguna peran Admin Compute (roles/compute.admin) di folder, pengguna tersebut akan memiliki kontrol penuh atas semua resource Compute Engine di setiap project dalam folder tersebut.

Memahami peran dan izin folder

Peran default

Saat membuat folder, Anda akan diberi peran Admin Folder dan Editor Folder untuk folder tersebut guna memberi Anda kontrol penuh sebagai pembuat. Lihat di bawah untuk mengetahui izin yang diberikan oleh peran ini. Peran default ini dapat diubah seperti biasa dalam kebijakan izin.

Menggunakan peran bawaan

Peran Izin

(roles/resourcemanager.folderAdmin)

Memberikan semua izin yang tersedia untuk bekerja dengan folder.

Resource tingkat terendah tempat Anda dapat memberikan peran ini:

  • Folder

essentialcontacts.*

  • essentialcontacts.contacts.create
  • essentialcontacts.contacts.delete
  • essentialcontacts.contacts.get
  • essentialcontacts.contacts.list
  • essentialcontacts.contacts.send
  • essentialcontacts.contacts.update

iam.policybindings.*

  • iam.policybindings.get
  • iam.policybindings.list

orgpolicy.constraints.list

orgpolicy.policies.list

orgpolicy.policy.get

resourcemanager.capabilities.*

  • resourcemanager.capabilities.get
  • resourcemanager.capabilities.update

resourcemanager.folders.*

  • resourcemanager.folders.create
  • resourcemanager.folders.createPolicyBinding
  • resourcemanager.folders.delete
  • resourcemanager.folders.deletePolicyBinding
  • resourcemanager.folders.get
  • resourcemanager.folders.getIamPolicy
  • resourcemanager.folders.list
  • resourcemanager.folders.move
  • resourcemanager.folders.searchPolicyBindings
  • resourcemanager.folders.setIamPolicy
  • resourcemanager.folders.undelete
  • resourcemanager.folders.update
  • resourcemanager.folders.updatePolicyBinding

resourcemanager.hierarchyNodes.*

  • resourcemanager.hierarchyNodes.createTagBinding
  • resourcemanager.hierarchyNodes.deleteTagBinding
  • resourcemanager.hierarchyNodes.listEffectiveTags
  • resourcemanager.hierarchyNodes.listTagBindings

resourcemanager.projects.createPolicyBinding

resourcemanager.projects.deletePolicyBinding

resourcemanager.projects.get

resourcemanager.projects.getIamPolicy

resourcemanager.projects.list

resourcemanager.projects.move

resourcemanager.projects.searchPolicyBindings

resourcemanager.projects.setIamPolicy

resourcemanager.projects.updatePolicyBinding

(roles/resourcemanager.folderIamAdmin)

Memberikan izin untuk mengelola kebijakan izin pada folder.

Resource tingkat terendah tempat Anda dapat memberikan peran ini:

  • Folder

iam.policybindings.*

  • iam.policybindings.get
  • iam.policybindings.list

resourcemanager.folders.createPolicyBinding

resourcemanager.folders.deletePolicyBinding

resourcemanager.folders.get

resourcemanager.folders.getIamPolicy

resourcemanager.folders.searchPolicyBindings

resourcemanager.folders.setIamPolicy

resourcemanager.folders.updatePolicyBinding

(roles/resourcemanager.folderCreator)

Memberikan izin yang diperlukan untuk menjelajahi hierarki dan membuat folder.

Resource tingkat terendah tempat Anda dapat memberikan peran ini:

  • Folder

essentialcontacts.contacts.get

essentialcontacts.contacts.list

orgpolicy.constraints.list

orgpolicy.policies.list

orgpolicy.policy.get

resourcemanager.capabilities.get

resourcemanager.folders.create

resourcemanager.folders.get

resourcemanager.folders.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/resourcemanager.folderEditor)

Memberikan izin untuk mengubah folder serta melihat kebijakan izinkan folder.

Resource tingkat terendah tempat Anda dapat memberikan peran ini:

  • Folder

essentialcontacts.contacts.get

essentialcontacts.contacts.list

orgpolicy.constraints.list

orgpolicy.policies.list

orgpolicy.policy.get

resourcemanager.capabilities.*

  • resourcemanager.capabilities.get
  • resourcemanager.capabilities.update

resourcemanager.folders.delete

resourcemanager.folders.get

resourcemanager.folders.getIamPolicy

resourcemanager.folders.list

resourcemanager.folders.searchPolicyBindings

resourcemanager.folders.undelete

resourcemanager.folders.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/resourcemanager.folderMover)

Memberikan izin untuk memindahkan project dan folder ke dalam dan ke luar organisasi atau folder induk.

Resource tingkat terendah tempat Anda dapat memberikan peran ini:

  • Folder

resourcemanager.folders.move

resourcemanager.projects.move

(roles/resourcemanager.folderViewer)

Memberikan izin untuk mendapatkan folder dan mencantumkan folder dan project di bawah resource.

Resource tingkat terendah tempat Anda dapat memberikan peran ini:

  • Folder

essentialcontacts.contacts.get

essentialcontacts.contacts.list

orgpolicy.constraints.list

orgpolicy.policies.list

orgpolicy.policy.get

resourcemanager.capabilities.get

resourcemanager.folders.get

resourcemanager.folders.list

resourcemanager.projects.get

resourcemanager.projects.list

Membuat peran khusus

Selain peran bawaan yang dijelaskan dalam topik ini, Anda juga dapat membuat peran khusus yang merupakan kumpulan izin yang Anda sesuaikan dengan kebutuhan Anda. Saat membuat peran kustom untuk digunakan dengan Resource Manager, perhatikan poin-poin berikut:
  • Mencantumkan dan mendapatkan izin, seperti resourcemanager.projects.get/list, harus selalu diberikan sebagai pasangan.
  • Jika peran khusus Anda menyertakan izin folders.list dan folders.get, peran tersebut juga harus menyertakan projects.list dan projects.get.
  • Perlu diketahui bahwa izin setIamPolicy untuk resource organisasi, folder, dan project memungkinkan pengguna memberikan semua izin lainnya, sehingga harus ditetapkan dengan hati-hati.

Memberikan peran untuk mengaktifkan penjelajahan folder

Izin daftar memungkinkan penjelajahan folder. Dua jenis izin daftar yang biasanya perlu diberikan adalah resourcemanager.folders.list, yang memungkinkan pengguna membuat daftar folder di bawah resource, dan resourcemanager.projects.list, yang memungkinkan pengguna menjelajahi project di bawah resource organisasi atau folder. Administrator Organisasi diinisialisasi dengan kedua izin ini. Untuk pengguna yang belum diberi peran Administrator Organisasi:

  • resourcemanager.folders.list dapat diberikan melalui peran Pelihat Folder dan Editor Folder.
  • resourcemanager.projects.list dapat diberikan melalui peran Pelihat atau Browser.

Agar principal resource organisasi dapat menjelajahi seluruh hierarki resource organisasi, izin pencantuman harus diberikan di tingkat resource organisasi.

Memberikan peran untuk mengaktifkan pembuatan folder

Pengguna yang perlu membuat folder harus diberi peran Pembuat Folder pada resource dalam hierarki di atas level tempat folder akan dibuat. Sebaiknya berikan izin penjelajahan bersama dengan izin pembuatan folder agar pengguna dapat menavigasi secara efektif ke tempat folder akan dibuat dalam hierarki. Lihat bagian di atas untuk mengetahui informasi selengkapnya tentang izin penjelajahan.

Pembuat Folder tidak memberikan izin kepada pengguna untuk menghapus folder. Namun, saat seseorang membuat folder, orang tersebut akan otomatis diberi peran Editor Folder. Peran Editor Folder memungkinkan penghapusan folder.

Memberikan peran untuk mengaktifkan pemindahan folder

Untuk memindahkan folder dari satu resource induk ke resource induk lainnya, pengguna harus memiliki peran Pemindah Folder di resource induk lama dan baru, atau di leluhur yang sama.

Memberikan peran untuk mengaktifkan pemindahan project

Untuk memindahkan project ke dalam folder, pengguna harus memiliki peran Project Editor atau Project Owner di project dan Project Mover di resource induk sumber dan tujuan.

Hal ini sedikit berbeda dengan persyaratan untuk memindahkan project yang tidak dimiliki organisasi ke dalam resource organisasi, di mana pengguna harus memiliki peran Project Editor atau Project Owner di project dan peran Project Creator di resource organisasi.

Memberikan peran khusus folder untuk mengaktifkan pembuatan project

Untuk membuat project, pengguna harus memiliki peran Project Creator. Namun, daripada memberikan izin pembuatan project di seluruh organisasi, sebaiknya batasi pengguna agar hanya dapat melihat dan membuat project dalam folder tertentu.

Untuk memberikan izin khusus folder:

  1. Beri pengguna peran Organization Viewer di tingkat node org (misalnya, domain.com).
  2. Buat folder baru.
  3. Tambahkan pengguna ke IAM di tingkat folder dan berikan peran Pelihat Folder dan Pembuat Project kepada pengguna tersebut.

Hal ini memungkinkan pengguna membuat project di folder mereka tanpa memberikan visibilitas ke setiap project di resource organisasi yang lebih besar.